1. Contextualização
a) O que é o GDPR e a quem se aplica
O GDPR (Regulamento Europeu Geral de Proteção de Dados) é uma legislação europeia que define novos parâmetros de proteção de dados pessoais identificáveis e entrará em vigor em maio de 2018. A proteção da informação pessoal e a integridade do cidadão são definidas como prioridades pela UE, pelo que as empresas devem saber os dados que têm em seu poder e fazer apenas aquilo que o cliente autoriza. Neste sentido, as regras de segurança para proteção dos dados devem estar mais restritas e os standards de notificação em caso de violação melhorados.
O GDPR será destinado aos responsáveis pelo tratamento de dados (controladores), aos subcontratantes a que recorram para tal (processadores) e às operações de processamento que se foquem nos assuntos de dados pessoais europeus. Implica que todos os departamentos de uma empresa identifiquem, avaliem, categorizem e consigam gerir os dados pessoais da empresa, contribuindo para o aumento da confiança dos seus clientes.
b) Os drivers do GDPR
. Necessidade de modernização devido ao desenvolvimento de serviços online e tecnologias como social networks, cloud computing, entre outros;
. Necessidade de dar aos indivíduos o controlo dos seus dados pessoais;
. Necessidade de simplificar o ambiente regulamentar para as empresas, como requisitos administrativos desnecessários.
c) As Dimensões do GDPR
d) As principais mudanças da Diretiva 95/46/EC para o GDPR aconteceram em quatro níveis:
1. Âmbito mais alargado, definições e formalidades:
. Introdução das componentes “dados de localização”, “identificador online” e “genética” como fatores identificáveis e das categorias especiais “tratamento de dados genéticos” e “dados biométricos” como identificadores exclusivos de uma pessoa singular;
. O processamento de dados pessoais deve acontecer num estabelecimento da UE (independentemente do processamento ser feito ou não na UE) e/ou sendo estes dados relativos a pessoas que se encontrem na UE.
2. Novos princípios e medidas de segurança adequadas:
. Garantir que são implementadas técnicas e medidas que têm em conta a natureza, âmbito, contexto e propósito do processamento de dados (controlo de dados).
3. Novos direitos dos cidadãos e fundamento jurídico para o tratamento de dados:
. O consentimento do tratamento de dados deve acontecer por uma declaração ou uma clara ação afirmativa;
. Novos Direitos dos Indivíduos: Direito à retificação, esquecimento (“right to be forgotten”), portabilidade de dados e a não ser sujeito a decisões baseadas apenas no processamento automatizado, incluindo perfis.
4. Aplicação/Sanções e notificação de segurança e violação
2. Operacionalização do GDPR
Na fase de operacionalização do GDPR, é fundamental ter em conta e saber qual a informação com a qual se trabalha diariamente, nomeadamente os Dados Pessoais e os Dados Privados. Estes dados, considerados ativos preciosos, devem conseguir ser protegidos e guardados de forma legal.
DADOS PESSOAIS: Um dado pessoal é qualquer informação relativa a uma pessoa identificada ou identificável. Há muitos dados pessoais dispersos que os clientes não têm conhecimento.
O que são:
. Os mais óbvios: Nome, Morada, NIF, Nº telefone, email, detalhe das chamadas;
. Os menos óbvios: IP, Nº conta bancária, detalhes dos sites navegados, fotografias no telefone ou na Cloud, entre outros.
Onde estão:
. Fisco, Câmara, banco, local trabalho, email, “contact book”, sites, lojas de compras, entre outros.
DADOS PRIVADOS: Existem dois tipos – os não sensíveis e os sensíveis (que realmente interessam). As empresas devem focar-se na informação que é relevante – aquela que se for pública pode causar danos. Nomeadamente: Informação Biométrica (básica), Informação Médica, Informação Financeira, Informação do Passaporte ou Números de Segurança, Dados de comunicação e Localização. Podem ser dos clientes, dos trabalhadores e dos fornecedores.
Atualmente, tem vindo a vigorar a preocupação de existirem cada vez mais dados, que se revestem de uma enorme diversidade e estão muito acessíveis. 80% destes são cada vez mais fáceis de encontrar, daí a necessidade do GDPR.
2.1. Operacionalização do GDPR nas Organizações
Para a transposição da regulamentação para as organizações vão ser necessárias competências ao nível:
LEGAL: Interpretar o enquadramento legal;
GESTÃO DE RISCO: Avaliar o impacto no modelo de negócio da empresa;
CYBER SECURITY: Analisar o nível de exposição aos riscos;
TECNOLOGIA: Proteger a privacidade de dados;
ORGANIZAÇÃO: Incorporar a privacidade de dados na organização como um todo.
Fases do Processo de Implementação
AVALIAÇÃO: Avaliar a maturidade da organização, ou seja, perceber quais os requisitos que cumpre do GDPR (nível de compliance da organização face à norma) e o seu impacto, planeando Medidas Técnicas e Organizacionais (TOM).
DESIGN: Desenvolver técnicas/soluções para implementar os princípios e normas do framework de privacidade de dados. Estas têm de assegurar medidas que, por defeito, garantam que só são tratados os dados pessoais necessários para um propósito específico e que os dados não são tornados acessíveis sem a intervenção do indivíduo.
A sua aplicação implica a existência de Data Governance (incluindo Data Protection Officer) para a gestão dos dados, fundamentada em sinergias entre:
São várias as ferramentas para pôr em prática o controlo, processos e soluções de proteção de dados:
Dentro das ferramentas de gestão de riscos da privacidade, foi apresentado, durante o evento, a relevância da Pseudoanonimização. Esta consiste em alterar dados de forma a que estes não sejam relacionáveis com uma pessoa sem informações adicionais. Tem a vantagem de, em caso de fugas de dados pseudonimizados, não exigir o mesmo tratamento rigoroso, relatórios e multas. Pode ser aplicada em vários formatos:
Mascaramento de Dados: É um método de criação de uma versão estruturalmente semelhante, mas não igual, dos dados de uma organização. Consiste em “esconder” os dados originais com caracteres aleatórios ou fornecidos. É fácil de implementar, mas torna-se impossível recuperar os dados após o processo;
Pseudoanonimização: Consiste em substituir o nome original por outro nome, através de correlações. É necessário fazer um mapeamento através da criação e armazenamento de uma tabela de conversão;
Random (aleatório): Dá uma anonimização total, mas, a partir do momento em que os dados são aleatórios, não é possível fazer correlações;
CIPHER (Encriptação): Processo de transformação da informação através de um algoritmo (cifra) de modo a impossibilitar a sua leitura, tornando-a incompreensível, exceto aos que possuam uma identificação particular (chave/código). Reutiliza tecnologia de criptografia passada (segura), mas requer um novo formato;
FPE (Format-Preserving Encryption): É uma nova abordagem para encriptar dados estruturados, que utiliza o método de criptografia através de um algoritmo, de forma a que o texto de saída (cifra) esteja no formato original dos dados (texto de entrada), dando garantias de encriptação. Não requer alterações no esquema dos dados, mas requer trabalho extra.
TRANSFORMAÇÃO: Saber quais os dados pessoais que têm em sua posse e classificá-los, perceber porque os têm e como devem ser tratados tendo em conta o GDPR.
OPERAÇÃO:Efetivar a aplicação e utilização das soluções, iniciando uma nova forma de trabalhar em conformidade com o GDPR.
CONFORMIDADE: Monitorizar a execução das TOM e responder a incidentes, bem como fornecer provas de conformidade às partes internas e externas. Caso a conformidade com o GDPR não esteja a acontecer, qualquer pessoa tem o direito de apresentar uma queixa, podendo vir a receber uma indemnização. Para além disto, as empresas estão sujeitas a multas administrativas: coimas máximas até 20.000.000€ ou até 4% do volume de negócios anual mundial do exercício precedente.
2.2. Operacionalização do GDPR para os Oficiais de Proteção de Dados
É obrigatório ter Oficiais de Proteção de Dados:
. Sempre que o tratamento é efetuado por uma autoridade ou organismo público;
. Sempre que as atividades do controller ou do processador exijam uma monitorização regular e sistemática dos dados em grande escala;
. Sempre que as atividades principais do controller ou do processador consistam em transformar em grande escala categorias especiais de dados ou dados pessoais relativos a condenações e infrações penais.
2.3. Para os utilizadores – consentimento dos cidadãos
. O utilizador deve consentir (através de claras e simples políticas de privacidade) o processamento dos seus dados pessoais (o consentimento é um requisito básico);
. O que realmente acontece: os cidadãos não estão cientes da quantidade de informação que fornecem, dos riscos de privacidade e, inclusive, tendem a adotar atitudes descontraídas a este respeito: Não sabem como as diferentes informações pessoais conseguem produzir um perfil pessoal.